Il tuo DKIM
è configurato correttamente?

Controlla chiavi e firme DKIM in pochi secondi. Verifica selettori, lunghezza della chiave e record TXT per prevenire spoofing e problemi di recapito.

Inserisci il tuo dominio e (facoltativamente) un selettore per convalidare la tua configurazione DKIM.

Inserisci un dominio valido.
Devi accettare prima di eseguire la scansione.
Utente che verifica la configurazione DKIM su un portatile

Usa lo strumento di verifica dei record DKIM di DMARCFlow per individuare e risolvere i problemi di autenticazione delle email

Il verificatore DKIM di DMARCFlow testa e verifica la configurazione DKIM del tuo dominio per assicurarsi che sia impostata correttamente. Conferma che le email siano firmate con la tua chiave privata e che la firma rimanga intatta, garantendo autenticità e integrità del messaggio.

Verifica che una chiave pubblica sia pubblicata correttamente sotto un selettore e individua i problemi prima che incidano sul recapito o sulla sicurezza.

Dashboard dei risultati DKIM
Diagramma che spiega la struttura di un record DKIM

Che cos'è un record DKIM?

Un record DKIM è una voce TXT del DNS che contiene un selettore e una chiave pubblica. Il selettore punta alla chiave privata che firma le email; la chiave pubblica consente ai destinatari di verificare la firma e confermarne l'integrità.

Scansiona dominio

Esempio di un record DKIM

Esempio: mailo è il selettore e dmarcflow.online è il dominio. v=DKIM1 indica il tipo di record, k=rsa l'algoritmo della chiave e p=... contiene la chiave pubblica.

Esempio di record DKIM nell'interfaccia DNS
Illustrazione del funzionamento di DKIM

Come funziona DKIM?

DKIM aggiunge una firma digitale alle email in uscita. Il tuo server firma con una chiave privata; i destinatari recuperano la tua chiave pubblica dal DNS e verificano la firma. Firme corrispondenti indicano autenticità; le discordanze segnalano un rischio. Risultato: reputazione più forte e migliore posizionamento in posta in arrivo.

Implementa, gestisci e ruota le chiavi DKIM nel modo giusto

Una rapida checklist per mantenere salda l'autenticazione ed elevata la recapitabilità

Usa RSA a 2048 bit

Preferisci chiavi a 2048 bit per una sicurezza più forte e una migliore accettazione da parte delle principali caselle di posta.

Pubblica per selettore

Usa selettori distinti per ogni flusso di posta (marketing, transazionale) per ruotare in sicurezza.

Evita le chiavi CNAME

Pubblica i record TXT direttamente, a meno che il tuo provider non richieda un alias gestito.

Ruota regolarmente

Introduci nuovi selettori, aggiorna i firmatari, quindi dismetti le vecchie chiavi dopo il passaggio.

Come interpretare i risultati del controllo DKIM

Cosa significa ogni stato di verifica DKIM e cosa fare al riguardo.

Superato

La firma DKIM è valida. La chiave pubblica nel DNS corrisponde alla chiave privata che ha firmato il messaggio e il contenuto dell'email non è stato modificato durante il transito. La tua configurazione DKIM funziona correttamente.

Non superato

La firma non è stata verificata. Il messaggio è stato modificato dopo la firma, è stata usata la chiave privata sbagliata oppure la chiave pubblica nel DNS non corrisponde. Controlla se il corpo o le intestazioni dell'email sono stati alterati: le mailing list sono una causa comune.

Nessun record trovato

Non esiste alcun record TXT DKIM per il selettore e il dominio specificati. Il selettore è errato, il record non è mai stato pubblicato oppure è stato eliminato. Verifica il nome del selettore con il tuo provider di posta e ripubblica il record.

Chiave troppo corta

La chiave pubblica è inferiore a 1024 bit. Gli standard moderni richiedono chiavi RSA di almeno 2048 bit. Le chiavi corte sono considerate deboli e alcuni provider rifiutano i messaggi firmati con esse. Passa immediatamente a una chiave a 2048 bit.

Discordanza della firma

La firma è presente ma l'hash del corpo non corrisponde. Il contenuto dell'email è stato modificato dopo la firma: ciò accade spesso quando un relay o una mailing list aggiunge un piè di pagina o modifica le intestazioni. Configura la tua mailing list in modo da invalidare la firma DKIM in modo pulito anziché corromperla silenziosamente.

Timeout DNS

La ricerca DNS del record DKIM è andata in timeout. È un errore transitorio, ma se si ripete indica un problema dell'infrastruttura DNS. Verifica lo stato del tuo provider DNS e controlla che il record sia pubblicato con un TTL sufficientemente breve.

Errori DKIM comuni e come risolverli

Le cause più frequenti di errori DKIM rilevate nei report DMARC e le relative soluzioni.

Selettore errato o sconosciuto

Ogni firma DKIM fa riferimento a un selettore. Se non conosci il tuo selettore, controlla l'intestazione DKIM-Signature di un'email inviata: il tag s= contiene il nome del selettore.

Soluzione: Usa il selettore indicato nella documentazione del tuo server o provider di posta. Selettori comuni: google, s1, s2, default, mail.

DKIM è superato ma DMARC continua a fallire

Il superamento di DKIM non basta per DMARC. Il dominio nel tag DKIM d= deve essere allineato al dominio dell'intestazione From:. Se il tuo ESP firma con il proprio dominio anziché con il tuo, l'allineamento fallisce.

Soluzione: Configura il tuo ESP affinché firmi con il tuo dominio. La maggior parte delle piattaforme principali (Mailchimp, HubSpot, SendGrid) supporta la firma DKIM personalizzata.

DKIM fallisce dopo l'inoltro dell'email

I messaggi inoltrati hanno spesso il corpo modificato (piè di pagina aggiunti, codifica cambiata), il che invalida l'hash del corpo DKIM e provoca un errore. È un comportamento previsto: non è colpa tua.

Soluzione: Usa la canonicalizzazione relaxed (c=relaxed/relaxed), che tollera piccole modifiche agli spazi. Negli scenari di inoltro, DMARC verrà comunque superato se l'allineamento SPF regge.

La rotazione delle chiavi ha interrotto la firma DKIM

Durante la rotazione delle chiavi DKIM, il vecchio selettore viene rimosso dal DNS prima che il server di posta sia passato alla nuova chiave, oppure il nuovo record DNS non si è ancora propagato.

Soluzione: Pubblica sempre prima il nuovo selettore, attendi la propagazione DNS (fino a 48 ore), poi imposta il server di posta perché firmi con la nuova chiave. Solo allora dismetti il vecchio selettore.

Domande frequenti

Domande comuni su DKIM e DMARCFlow

Domande? Abbiamo le risposte!

DKIM utilizza firme crittografiche per dimostrare che un messaggio non è stato alterato durante il transito e che proviene da un server autorizzato dal tuo dominio.

Genera una coppia di chiavi, configura il tuo sistema di posta affinché firmi i messaggi con la chiave privata e pubblica la chiave pubblica nel DNS su selector._domainkey.example.com.

Un selettore identifica quale chiave utilizzare. Fa parte del nome DNS e ti consente di ruotare le chiavi senza tempi di inattività.

Offrono una protezione più forte e sono ampiamente consigliate dai provider di posta per una migliore sicurezza e recapitabilità.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) aiuta a proteggere il tuo dominio da usi non autorizzati verificando che le email in arrivo siano allineate ai record SPF e DKIM del tuo dominio.

Assicurando che i tuoi record SPF, DKIM e DMARC siano configurati correttamente, DMARCFlow aiuta le email legittime a raggiungere le caselle di posta bloccando quelle sospette.

Sì: istruzioni chiare e informazioni pratiche ti guidano anche senza un background tecnico.

Sì: gli strumenti principali come le ricerche dei record e l'analisi di base sono gratuiti.

Spoofing delle email, phishing e frodi correlate, autenticando l'origine dei tuoi messaggi.